Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
3 года 3 мес. назад - 3 года 1 мес. назад #215
от PNV
PNV создал эту тему: Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsof
Статья в процессе написания...
В данной статье описано создание единой универсальной беспроводной сети в рамках ЛВС предприятия (головной офис + филиалы), с применением контроллера Cisco WLC 2504 и точек доступа Cisco CAP2602i (Controller Based Access Point),с использованием технологий Flex Connect и Dynamic VLAN Assignment (динамическое присвоение VLAN'ов в соответствии с политиками доступа RADIUS-сервера). В качестве RADIUS-сервера выступает сервер Microsoft NPS (Network Policy Server).
Внутрикорпоративные клиенты (доменные компьютеры), которые будут подключаться к сети Universal, будут аутентифицироваться по машинным сертификатам, распространяемыми доменной политикой и соответственно попадать в свой VLAN. А внешние пользователи (гости) - при помощи гостевой доменной учетной записи (по логину и праролю), и будут попадать в свой VLAN. Устройства не поддерживающие 802.1х аутентификацию, будут подключаться к сети WEPPSK со своим VLAN.
Сначала немного о технологии FlexConnect (до настоящего времени, данная технология была известна как H-REAP Hybrid Remote Edge Access Point[/color][/i]).
Данная технология позволяет конфигурировать и управлять точками доступа в филиале или удаленном офисе из головного офиса через глобальную сеть (WAN + VPN) без развертывания контроллера в каждом офисе. В режиме FlexConnect точки доступа могут маршрутизировать трафик локально (в локальной сети удаленного офиса – local switching) без установки CAPWAP-туннеля с контроллером, и выполнять локально проверку подлинности клиента напрямую с точки доступа, либо с локального RADIUS-сервера филиала, когда связь с головным офисом и соответственно с контроллером - потеряна. Когда же контроллер доступен, то FlexConnect точки могут маршрутизировать трафик и аутентифицировать клиентов через контроллер (как и в обычном режиме Local с CAPWAP-туннелем – Central Switching).
FlexConnect-точка доступа может поддерживать три режима работы:
- central authentication, central switching – аутентификация и весь клиентский трафик проходят через контроллер;
- central authentication, local switching - аутентификация проходит на контроллере, а клиентский трафик маршрутизируется удаленно на самой точке доступа, без дополнительной нагрузки на канал между офисами;
- local authentication, local switching – аутентификация и маршрутизация полностью автономная, без использования контроллера.
В данной статье мы рассмотрим две наиболее встречающиеся ситуации:
1. Небольшой удаленный офис, без серверной инфраструктуры, интернет раздается через локальный маршрутизатор (чтобы не гонять wifi интернет-трафик через VPN). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal через контроллер и RADIUS-сервер головного офиса (контроллер будет выступать в качестве клиента для RADIUS-сервера), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), но трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK (для устаревших wifi устройств, без поддержки wpa), точка будет работать в полностью автономном режиме (local authentication, local switching).
В случае падения канала между данным офисом и головным офисом, клиенты подключенные до падения к обеим WLAN (Universal и WEPPSK) продолжают также работать. Но новые клиенты уже не смогут подключиться к сети Universal, в отличии от сети WEPPSK;
2. Удалённый филиал с серверной инфраструктурой (имеется локальный контроллер домена и RADIUS-сервер). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal на локальном RADIUS-сервере филиала (т.е. будет выступать непосредственно в качестве клиента для локального RADIUS-сервера филиала), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK – аналогично первому случаю.
В случае падения канала между данным филиалом и головным офисом, клиенты обеих WLAN будут продолжать работать и аутентифицироваться также как и до падения канала.
Теперь о технологии Dynamic VLAN Assignment.
Данная технология позволяет динамически распределять подключаемых к сети клиентов в ту или иную подсеть (VLAN), взависимости от политик созданных на сервере RADIUS. Т.е. по сути это одна из возможностей протокола RADIUS. Также о Dynamic VLAN Assignment можно прочитать в другой статье.
Далее приступим непосредственно к настройкам самого контроллера.
Сначала сделаем общие настройки, касаемо обоих режимов работы точек (LOCAL и FlexConnect):
Следующие настройки будут относиться только к точкам доступа, работающим в режиме LOCAL, которые расположены в головном офисе вместе с контроллером.
Далее переходим к настройкам точек доступа работающих в режиме FlexConnect.
Дальше следуют описания настройки серверов и доменных политик
1. Создадим доменную политику распространения машинных сертификатов.
Предполагается, что в компании уже имеется свой сервер сертификатов (Certification Authority Server), посредством которого, будут распространяться сертификаты.
2. Создадим политику автоматического подключения к сети Universal по машинному сертификату компьютера.
Т.е. при помощи политики, на доменных компьютерах автоматически создается беспроводное сетевое подключение с предопределенными параметрами.
В данной статье описано создание единой универсальной беспроводной сети в рамках ЛВС предприятия (головной офис + филиалы), с применением контроллера Cisco WLC 2504 и точек доступа Cisco CAP2602i (Controller Based Access Point),с использованием технологий Flex Connect и Dynamic VLAN Assignment (динамическое присвоение VLAN'ов в соответствии с политиками доступа RADIUS-сервера). В качестве RADIUS-сервера выступает сервер Microsoft NPS (Network Policy Server).
Внутрикорпоративные клиенты (доменные компьютеры), которые будут подключаться к сети Universal, будут аутентифицироваться по машинным сертификатам, распространяемыми доменной политикой и соответственно попадать в свой VLAN. А внешние пользователи (гости) - при помощи гостевой доменной учетной записи (по логину и праролю), и будут попадать в свой VLAN. Устройства не поддерживающие 802.1х аутентификацию, будут подключаться к сети WEPPSK со своим VLAN.
Сначала немного о технологии FlexConnect (до настоящего времени, данная технология была известна как H-REAP Hybrid Remote Edge Access Point[/color][/i]).
Данная технология позволяет конфигурировать и управлять точками доступа в филиале или удаленном офисе из головного офиса через глобальную сеть (WAN + VPN) без развертывания контроллера в каждом офисе. В режиме FlexConnect точки доступа могут маршрутизировать трафик локально (в локальной сети удаленного офиса – local switching) без установки CAPWAP-туннеля с контроллером, и выполнять локально проверку подлинности клиента напрямую с точки доступа, либо с локального RADIUS-сервера филиала, когда связь с головным офисом и соответственно с контроллером - потеряна. Когда же контроллер доступен, то FlexConnect точки могут маршрутизировать трафик и аутентифицировать клиентов через контроллер (как и в обычном режиме Local с CAPWAP-туннелем – Central Switching).
FlexConnect-точка доступа может поддерживать три режима работы:
- central authentication, central switching – аутентификация и весь клиентский трафик проходят через контроллер;
- central authentication, local switching - аутентификация проходит на контроллере, а клиентский трафик маршрутизируется удаленно на самой точке доступа, без дополнительной нагрузки на канал между офисами;
- local authentication, local switching – аутентификация и маршрутизация полностью автономная, без использования контроллера.
В данной статье мы рассмотрим две наиболее встречающиеся ситуации:
1. Небольшой удаленный офис, без серверной инфраструктуры, интернет раздается через локальный маршрутизатор (чтобы не гонять wifi интернет-трафик через VPN). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal через контроллер и RADIUS-сервер головного офиса (контроллер будет выступать в качестве клиента для RADIUS-сервера), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), но трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK (для устаревших wifi устройств, без поддержки wpa), точка будет работать в полностью автономном режиме (local authentication, local switching).
В случае падения канала между данным офисом и головным офисом, клиенты подключенные до падения к обеим WLAN (Universal и WEPPSK) продолжают также работать. Но новые клиенты уже не смогут подключиться к сети Universal, в отличии от сети WEPPSK;
2. Удалённый филиал с серверной инфраструктурой (имеется локальный контроллер домена и RADIUS-сервер). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal на локальном RADIUS-сервере филиала (т.е. будет выступать непосредственно в качестве клиента для локального RADIUS-сервера филиала), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK – аналогично первому случаю.
В случае падения канала между данным филиалом и головным офисом, клиенты обеих WLAN будут продолжать работать и аутентифицироваться также как и до падения канала.
Теперь о технологии Dynamic VLAN Assignment.
Данная технология позволяет динамически распределять подключаемых к сети клиентов в ту или иную подсеть (VLAN), взависимости от политик созданных на сервере RADIUS. Т.е. по сути это одна из возможностей протокола RADIUS. Также о Dynamic VLAN Assignment можно прочитать в другой статье.
Далее приступим непосредственно к настройкам самого контроллера.
Сначала сделаем общие настройки, касаемо обоих режимов работы точек (LOCAL и FlexConnect):
ВНИМАНИЕ: Спойлер!
Следующие настройки будут относиться только к точкам доступа, работающим в режиме LOCAL, которые расположены в головном офисе вместе с контроллером.
ВНИМАНИЕ: Спойлер!
Далее переходим к настройкам точек доступа работающих в режиме FlexConnect.
ВНИМАНИЕ: Спойлер!
Дальше следуют описания настройки серверов и доменных политик
1. Создадим доменную политику распространения машинных сертификатов.
Предполагается, что в компании уже имеется свой сервер сертификатов (Certification Authority Server), посредством которого, будут распространяться сертификаты.
ВНИМАНИЕ: Спойлер!
2. Создадим политику автоматического подключения к сети Universal по машинному сертификату компьютера.
Т.е. при помощи политики, на доменных компьютерах автоматически создается беспроводное сетевое подключение с предопределенными параметрами.
ВНИМАНИЕ: Спойлер!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Forum Login
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)